让’s Encrypt将吊销3m + TLS / SSL彩票网app

非营利彩票网app颁发机构,今天(3月4日)世界标准时间20:00 UTC(美国东部标准时间下午3:00)开始 让’s Encrypt 将开始’撤销超过三百万的努力 TLS / SSL 漏洞影响其CA软件时发出的彩票网app。

初步调查显示该错误于2019年7月25日引入,但正在进行更详细的调查– though, for now, 它似乎 那“it’s not likely 那there was any significant 发行错误 由于这一事件。”

尽管如此,还是敦促受影响的彩票网app所有者更新和替换其彩票网app,以便其站点能够’最终向访问者显示此类警报:

撤销TLS / SSL彩票网app

关于CAA重新检查错误

As explained by 让’s加密工程师(也是EFF的高级技术人员)Jacob Hoffman-Andrews,相关软件– named Boulder –在验证订户对域名的控制权的同时检查CAA记录。

“大多数订户在域控制验证之后立即颁发彩票网app,但是我们认为验证有效期为30天。这意味着在某些情况下,我们需要在发行前再次检查CAA记录。具体来说,我们必须在发行前8小时内检查CAA(…),因此,任何经过8小时以上验证的域名都需要重新检查,” he 注意到的.

“错误:当彩票网app请求包含N个域名需要CAA重新检查时,Boulder会选择一个域名并对其进行N次检查。实际上,这意味着如果订户在时间X验证了一个域名,并且CAA在时间X允许该域的记录允许我们进行加密发行,则该用户将能够颁发包含该域名的彩票网app,直到X + 30天,即使后来有人在该域名上安装了禁止通过Let's Encrypt发行的CAA记录。”

在受影响的300万多个彩票网app中,大约有100万是其他受影响彩票网app的重复副本(即,它们涵盖同一组域名)。

你受到影响了吗?

让’由Internet安全研究小组(ISRG)运行的Encrypt已通过电子邮件向受影响的订户发送了联系方式,这些订户已获得了他们的联系信息,但许多人可能仍然不知道这种情况。如果他们不这样做’如果无法在吊销之前获得新的有效彩票网app,访问者可能最终会失去对网站安全的信任。

CA有 提供 一种用于检查是否正在使用受影响的彩票网app和其他说明的工具。

安全研究员Scott Helme拥有 可用 受影响域的列表。

更新(太平洋时间2020年3月6日,凌晨1:10):

Josh Aas, the Executive Director of ISRG, the entity behind 让’s Encrypt, has 宣布 他们已经替换了超过170万个受影响的彩票网app,但是其余彩票网app的替换将更加缓慢。

“我们已确定,不要在截止日期之前(行业规则规定)吊销这些彩票网app,这符合Internet的健康,这并没有潜在地破坏那么多的站点并引起访问者的关注,” he 注意到的.

“Let’s Encrypt仅提供90天有效期的彩票网app,因此我们可能不会撤消的可能受影响的彩票网app将相对快速地离开生态系统。”

分享这个